Recientemente participé, junto a otros abogados del despacho, en una Feria del sector farmacéutico que tuvo lugar en IFEMA, Madrid. En medio de una reunión en la que nos disponíamos a arreglar el mundo a través de la protección de datos, un cliente, en su condición de CEO de una compañía del sector, preguntó: “¿Y yo, para cumplir con el dichoso Reglamento General de Protección de datos, que tengo que hacer con estas ciento y pico tarjetas de presentación que me han entregado en mano? Agregando: Si tengo que pedir ciento y pico consentimientos ahora mismo me deshago de ellas.”
¿Es necesario el consentimiento para los datos profesionales de la tarjeta de visita?
Ante esta duda, respondí: “No es necesario pedir los consentimientos Sr. Ceo, porque de acuerdo con el Art. 19 de la Ley 3/2018 de protección de datos recientemente aprobada, los datos de contacto profesional pueden tratarse sin consentimiento, siempre que sean datos de localización y la finalidad sea la de mantener relaciones con la persona jurídica para la que trabaje su contacto. La base de legitimación que habilita este tratamiento es el interés legitimo del Responsable.”
De acuerdo con la Ley 15/1999 de protección de datos, actualmente derogada, los datos de contacto estaban excluidos de protección, por lo que no aplicaba esta norma a la recogida de tarjetas de visita. Con la nueva regulación, concretamente la ley 3/2018 (“LOPDGDD”) y el Reglamento General de Protección de Datos (“RGPD”), los datos de contacto vuelven a ser considerados datos personales, aunque puedan tratarse sin necesidad de consentimiento. Esto implica que se puede establecer el contacto, es decir, enviarle una presentación o unas tarifas, no que se le pueda avasallar con publicidad no solicitada, lo que podría constituir Spam y por tanto una infracción de la Ley 34/2002, de Servicios de Sociedad de la Información.
El deber de información sobre el tratamiento de los datos
No obstante, la cuestión controvertida no está en el consentimiento, sino en el deber de información, ya que de acuerdo con el art. 13 del RGPD, debemos ofrecer información a los interesados de los que recabamos datos, con independencia de la causa de legitimación que habilite este tratamiento. Parece complicado, excesivo e irracional, facilitar esta información en el preciso momento de la recogida de tarjetas de visita en medio de un evento multitudinario. Debemos acogernos, por tanto, al considerando 61-62 del RGPD, que establece “Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos (…). Sin embargo, no es necesario imponer la obligación de proporcionar información cuando (…) facilitar la información resulte imposible o exija un esfuerzo desproporcionado.”
Lo que sí parece racional y proporcionado es que en la primera comunicación que remitamos a nuestros contactos, generalmente realizada por email, incluyamos información básica sobre el tratamiento de sus datos y le demos opción de darse de baja de nuestras comunicaciones en cualquier momento.
El Sr. Ceo estaba tan sugestionado al enterarse de que las sanciones por incumplimiento de protección de datos pueden llegar a los veinte millones de euros, que, si le hubiera dicho que debía colgarse un cartel informativo en la frente, hubiera accedido. Antes de adoptar una actitud tan tremendista, es recomendable conocer la norma, porque su comprensión generalmente simplifica lo complejo. En Umbra Abogados trabajamos para que la protección de datos no sea un obstáculo para el empresario, sino una herramienta para un crecimiento ético y responsable.
Responsable de Legal de Umbra Abogados
